Webcam abkleben trotz deaktiviertem Kernel-Modul?

[hikaru]

Ist eigentlich mal jemandem eine Webcam mit einzeln schaltbarer Kamera und Aktivitätsdiode über den Weg gelaufen? Als ich vor rund 10 jahren einen Blick in den uvcvideo-Code warf fiel mir auf, dass dort Kamera und Diode getrennt geschaltet wurden (Diode an, Kamera an, Kamera aus, Diode aus).
Ich vermute, das hatte seinen Grund. Mit den Kameras die ich damals hatte konnte ich aber keine Änderung im Verhalten der Kamera feststellen, wenn ich den Diodencode auskommentiert hatte. Beide gingen immer gemeinsam an und aus.

[MSfree]

Ist eigentlich mal jemandem eine Webcam mit einzeln schaltbarer Kamera und Aktivitätsdiode über den Weg gelaufen?

Die meisten Webcams kann man im "Stealthmode" betreiben, sie nehmen also auf, ohne die Indikator-LED einzuschalten. Zur Raumüberwachung will man das ja auch so. Bei Notebooks und Tabletts fehlt die Indikator-LED meistens sogar ganz.

[hikaru]

Bei Notebooks und Tabletts fehlt die Indikator-LED meistens sogar ganz.

Also mein EEE 901 hat eine LED. Das war damals auch eines der Geräte, mit dem ich das getestet hatte. Und ich glaube auch mein Precision M6500 hatte eine Kamera-LED.
Bei meinen Thinkpads weiß ich es ehrlich gesagt nicht. Die habe ich erst gekauft, als ich mich längst nicht mehr für Notebook-Kameras interessiert habe.

[RobertDebiannutzer]

Weil ich mich manchmal mit dem Begriff des "hypothetischen Angriffsvektors" (oder so ähnlich) konfrontiert sehe:
Ich habe gerade den Bericht über die neue Datenschutzgrundverordnung bei Frontal21 (im ZDF) gesehen. Dort wurde auch ein Beispiel genannt, bei dem ein Online-Spiel in den Nutzungsbedingungen auch Zugriff auf die Webcam und das Micro verlangt. Ich spiele keine Online-Spiele, aber manche in meiner Bekanntschaft schon mal und die lesen dann vielleicht auch nicht immer alles so genau durch, was in den "Nutzungsbestimmungen" steht. Wer tut das auch schon? Das ist ja genau das, was durch die neue Datenschutzgrundverordnung überhaupt ermöglicht werden soll: Dass normale Menschen überhaupt Nutzungsbestimmungen lesen und verstehen können.
Und solche Online-Spiele sind ja nur ein Beispiel. Meine Bekannten/Familie, denen ich auf Wunsch teilweise auch Debian installiert habe, sind jedenfalls froh, wenn sie zusätzlich zu eigener Vorsicht noch ein bisschen den Rücken gestärkt bekommen durch ein sicheres System. Sodass nicht gleich jeder kleine Anwender-Fehler zu unerwünschten Ergebnissen in mehr oder weniger großem Ausmaß führt.
In diesem Sinne nützt natürlich die Deaktivierung des Kernel-Moduls für die Kamera schon, denn den Bestrebungen von Web-Applicationen (die ja eh nicht als root laufen) wird damit ein Riegel vorgeschoben.
Ebenso nutzt natürlich firejail, das wird in den von mir betreuten Systemen auch eingesetzt, doch die Optionen "novideo" und "nosound" würden wohl auf wenig Begeisterung stoßen, auch bei mir. Youtube-Videos kann man ja einfach mit mpv o.ä. schauen, aber nehmt nur mal das Online-Wörterbuch "dict.leo.org". Will man sich da die Aussprache eines Wortes anhören... Oder ich müsste doch mal das Mehr-Browser-Konzept konsequent durchdenken und umsetzen. Wird ja von Mike Kuketz (https://www.kuketz-blog.de/) auch empfohlen.

Jedenfalls kann ich nicht verstehen, warum viele (so kommt es mir jedenfalls vor) hier im Forum sich wenig für Schutzmaßnahmen begeistern können, wenn nur ein "theoretischer Angriffsvektor" vorliegt. Wollt ihr damit Anwendern sagen: "Macht erstmal nix und wartet einfach mal ab, ob die bisherigen Maßnahmen nicht vielleicht schon reichen"? Als jemand, der nicht IT studiert hat, kann man doch gar nicht so genau wissen, was alles möglich ist. Da ist es doch besser, wenn man sich etwas sicherer einrichtet, als etwas zu unsicher. So ist jedenfalls auch die Reaktion, die ich von anderen, nicht-IT-Menschen, höre, wenn ich mit denen über solche Themen rede.

[breakthewall]

Ebenso nutzt natürlich firejail, das wird in den von mir betreuten Systemen auch eingesetzt, doch die Optionen "novideo" und "nosound" würden wohl auf wenig Begeisterung stoßen, auch bei mir.

Warum denn wenig Begeisterung? Weil dann Youtube und Co. nicht mehr läuft? Mein Traum wären ja Tabs die wie voneinander isolierte Container in einem Browser laufen, während jeder Tab bzw. Container separiert isoliert werden kann. Aber mehrere Browser-Instanzen zu nutzen wäre vermutlich einfacher.

Jedenfalls kann ich nicht verstehen, warum viele (so kommt es mir jedenfalls vor) hier im Forum sich wenig für Schutzmaßnahmen begeistern können, wenn nur ein "theoretischer Angriffsvektor" vorliegt. Wollt ihr damit Anwendern sagen: "Macht erstmal nix und wartet einfach mal ab, ob die bisherigen Maßnahmen nicht vielleicht schon reichen"? Als jemand, der nicht IT studiert hat, kann man doch gar nicht so genau wissen, was alles möglich ist. Da ist es doch besser, wenn man sich etwas sicherer einrichtet, als etwas zu unsicher. So ist jedenfalls auch die Reaktion, die ich von anderen, nicht-IT-Menschen, höre, wenn ich mit denen über solche Themen rede.

Sich eingehend mit Sicherheit bzw. präventiven Sicherheitsmaßnahmen zu beschäftigen, würde ja Arbeit bedeuten, und ist der heutigen Drohnen-Generation natürlich ein Dorn im Auge. Für viele Menschen soll alles ohne Einsatz irgendeiner Form von Arbeit einfach funktionieren. Da ist alles was über ein Klickibunti-Smartphone-Betriebssystem hinausgeht, ein No-Go und ohnehin viel zu anstrengend. Allein die Installation von Apps verursacht schon endlose Fragezeichen, wenn nach Zugriffsrechten gefragt wird, wo natürlich einfach alles abgesegnet wird. Hauptsache es funktioniert. Aber mal davon abgesehen lernen viele erfahrungsgemäß erst dann, wenn ein unmittelbarer Schaden entstanden ist. Genauso wie viele Chefs in Unternehmen, die nichts von allem verstehen und die IT-Abteilung faktisch kaputt sparen, weil das alles ohnehin nur kostet ohne einen unmittelbar sichtbaren Ertrag. Und auch der reguläre Nutzer versteht oft nicht, weshalb es sinnvoll ist für etwas zu arbeiten, um sich später mitunter eine Menge an Leid zu ersparen. Doch am schlimmsten finde ich Menschen die pures Glück als Rechtfertigung dafür her nehmen, um untätig bleiben zu können. Denn IT-Sicherheit betrifft letzten Endes nicht nur einen selbst, sondern auch andere die durch die eigene Fahrlässigkeit Schaden nehmen können.